Der Identifizierungsprozess mit eigenen Daten erfordert keine Auftragsdatenverarbeitung?
Es gibt Projekte, bei denen Swisscom auf rechtlich anerkannte und geprüfte Identifizierungsmethoden mit Dritten zurückgreift. Ein typisches Beispiel ist eine Bank, die im Rahmen ihres KYC-Prozesses eine Präsenzidentifikation einer Person durchführt. In diesem Fall erhält Swisscom eine Kopie der Daten der Bank zu Geschäftszwecken (Unterschrift). Eine Auftragsdatenverarbeitung ist hier nicht notwendig, da zwei Parteien für die Daten verantwortlich sind. Umgekehrt wird der Grundsatz der gemeinsamen Kontrolle der DSGVO hier auch nicht angewandt, da die Datenverarbeitung nicht demselben Geschäftszweck dient und beide Parteien nicht für einen bestimmten Geschäftszweck verantwortlich handeln. Die Bank handelt für ihren Geschäftszweck, z. B. die Eröffnung eines Kontos, und Swisscom verfolgt ihr Ziel, Signaturen auszustellen. Dennoch enthalten unsere Verträge über die «Delegation der Registrierungsstellentätigkeit» auch in diesem Fall ein Minimum an Bestimmungen über das Vorgehen in Bezug auf den Datenschutz und die DSGVO.